PSD2: la revolución en pagos digitales y en seguridad financiera

¿Qué es la directiva PSD2 (Payment Services Directive 2)?

La PSD2 (Payment Services Directive 2) es la evolución de la Primera Directiva de Servicios de Pago (PSD1), que entró en vigor en la Unión Europea en 2007. La PSD1 buscaba unificar y armonizar los pagos transfronterizos en euros, pero con el auge de las fintech, la banca móvil y el comercio electrónico, se hizo evidente la necesidad de una reforma más amplia. Por ello, la Comisión Europea propuso la PSD2, aprobada en 2015 y aplicada a partir de 2018.

La PSD2 va más allá de la mera actualización de la PSD1, introduciendo conceptos como la Autenticación Reforzada de Clientes (SCA) y la apertura de APIs bancarias. El objetivo es fomentar la competencia, promover la innovación y reforzar la seguridad en el ecosistema de pagos digitales.

El impacto de la PSD2 es inmenso: bancos, fintechs, proveedores de servicios de pago y comercios deben adaptarse a este nuevo marco que promueve un modelo de Open Banking, donde los datos y las infraestructuras financieras se ponen al servicio de terceras partes autorizadas, siempre con el consentimiento del cliente.

Principales novedades introducidas por la PSD2

La PSD2 trae cambios sustanciales respecto a la antigua PSD1:

  • Acceso a cuentas (XS2A): las entidades bancarias deben permitir que terceras empresas reguladas (TPP) accedan a la información de las cuentas cuando el cliente lo autorice. Esta apertura se realiza mediante APIs seguras y estandarizadas.
  • Servicios de Iniciación de Pagos (PIS): nuevas figuras que pueden iniciar pagos directamente desde la cuenta bancaria del usuario, sin necesidad de intermediarios tradicionales como las tarjetas de crédito.
  • Servicios de Información de Cuentas (AIS): proveedores que consolidan información de múltiples cuentas bancarias del usuario, ofreciendo una visión integral de sus finanzas.
  • Autenticación Reforzada de Clientes (SCA): exigencia de un método de verificación de al menos dos factores (conocimiento, posesión, inherencia) para ciertas operaciones, reduciendo el fraude en pagos electrónicos.
  • Mayor responsabilidad y transparencia: obligaciones de informar claramente sobre comisiones y tiempos de ejecución, así como límites de responsabilidad en caso de transacciones no autorizadas.

Gracias a estas novedades, la PSD2 impulsa un escenario competitivo en el que ya no solo participan bancos tradicionales, sino también fintechs ágiles que introducen soluciones digitales innovadoras.

El poder de una correcta verificación de la identidad

 Más información

Objetivos clave de la Directiva de Servicios de Pago Revisada

  1. Fomentar la competencia: antes de la PSD2, los bancos tradicionales eran los únicos que manejaban los datos de las cuentas de sus clientes. Ahora, fintech's y otros proveedores pueden proponer servicios digitales avanzados, presionando a los bancos para que continúen innovando.
  2. Impulsar la innovación: el acceso a datos bancarios (con consentimiento) promueve el desarrollo de aplicaciones de gestión financiera, pagos instantáneos y otros servicios que aprovechan la infraestructura abierta para crear valor.
  3. Proteger al consumidor: la normativa refuerza la seguridad con la SCA y establece mecanismos claros sobre la responsabilidad en caso de fraudes o incidentes de pago, buscando una confianza mayor en las transacciones en línea.

Este marco legal empuja a la transformación digital de un sector que tradicionalmente estaba muy regulado y era reacio a compartir información. Ahora, la PSD2 redefine el panorama de los pagos, convirtiendo la banca cerrada en un Open Banking cada vez más colaborativo.

El rol de la autenticación reforzada de clientes (SCA)

La Autenticación Reforzada de Clientes (SCA) es probablemente la pieza más visible y comentada de la PSD2. Para aprobar una operación, la SCA requiere al menos dos de los siguientes factores:

  • Algo que se sabe (contraseña, PIN, etc.).
  • Algo que se posee (un teléfono, tarjeta, token de seguridad, etc.).
  • Algo que se es (biometría: huella, rostro, voz, etc.).

El objetivo es reducir drásticamente el fraude online, evitando que un ciberdelincuente pueda usar credenciales robadas sin disponer de un segundo factor. Aun así, la directiva contempla exenciones para pagos de bajo importe, transacciones recurrentes y aquellas consideradas de bajo riesgo, evitando que la experiencia de compra se vuelva tediosa para el usuario.

La SCA también ha incentivado la adopción de métodos más modernos de autenticación, como la verificación biométrica en smartphones, que combina seguridad y comodidad. Esto refuerza la idea de que la PSD2 no consiste en añadir capas de complejidad, sino de equilibrar la ciberseguridad con la usabilidad.

Servicios de iniciación de pagos (PIS) y de información de cuentas (AIS)

Dentro del ecosistema PSD2 surgen figuras clave que redefinen el modo de interactuar con el dinero:

  1. PIS (Payment Initiation Service): permiten que un tercero autorizado inicie un pago directamente desde la cuenta bancaria del usuario. Por ejemplo, en lugar de introducir datos de tarjeta en un e-commerce, el cliente podría optar por un botón de pago que realiza una transferencia inmediata. Esto agiliza los cobros y brinda mayor seguridad, pues no se comparten datos sensibles de la tarjeta.
  2. AIS (Account Information Service): habilitan a terceros para consultar y consolidar la información de diferentes cuentas bancarias del usuario en una misma plataforma. Así, aplicaciones de gestión financiera o de contabilidad pueden mostrar los saldos y transacciones de múltiples bancos en un solo panel, facilitando la toma de decisiones.

Estas nuevas figuras promueven la aparición de más startups y fintechs que ofrecen soluciones personalizadas, mejorando la experiencia de usuario y aumentando la competencia en el sector de pagos.

Quiénes deben cumplir con la PSD2

La PSD2 se aplica a las entidades y organizaciones que operan en el Espacio Económico Europeo (EEE):

  • Bancos y entidades de crédito: deben abrir sus APIs, aplicar la SCA y garantizar la protección de datos.
  • Proveedores de servicios de pago (PSP): emisores de tarjetas, pasarelas de pago, procesadores, etc.
  • Terceros Proveedores (TPP): compañías fintech que ofrecen servicios AIS o PIS.
  • Comercios y sitios e-commerce: necesitan adecuar sus métodos de cobro para satisfacer la SCA en pagos electrónicos.

El cumplimiento con la Directiva de Servicios de Pago Revisada (PSD2)  exige también el alineamiento con las normativas de protección de datos, como el RGPD. No cumplir con estas normativas puede desencadenar sanciones económicas, pérdida de reputación y restricciones operativas.

Ventajas de la PSD2 para los consumidores

  1. Mayor seguridad: la SCA y los mecanismos de supervisión reducen significativamente el riesgo de fraude.
  2. Transparencia en comisiones y operaciones: la directiva fija mayores exigencias de información clara sobre costes y responsabilidades.
  3. Variedad de servicios fintech: los consumidores pueden elegir proveedores que integran múltiples cuentas, facilitan pagos instantáneos o proponen soluciones de ahorro automatizadas.
  4. Control de datos: con el consentimiento expreso del cliente, los bancos comparten su información con terceros. Esto otorga el poder al usuario, que se convierte en el verdadero dueño de sus datos bancarios.
  5. Competencia en beneficio del usuario: más actores en el mercado se traducen en mejores ofertas, nuevas funcionalidades y precios más competitivos.

En definitiva, la PSD2 pretende situar al cliente en el centro de la experiencia, proporcionándole herramientas para gestionar sus finanzas de manera más autónoma y segura.

Retos para las entidades financieras y comercios

Aunque la PSD2 trae beneficios, también conlleva desafíos:

  • Adaptación tecnológica: las entidades deben desarrollar e implementar APIs seguras y compatibles con los estándares del mercado, lo cual implica inversión y un cambio en su arquitectura interna.
  • Experiencia de usuario: asegurar la SCA sin añadir demasiada fricción en el proceso de compra. El abandono de carrito o la complejidad de registros puede perjudicar las ventas.
  • Competencia: los bancos tradicionales se enfrentan a las fintech, que se enfocan en nichos o soluciones altamente innovadoras, retando los modelos de negocio clásicos.
  • Educación y concienciación: muchos usuarios desconocen la existencia de la PSD2 o no entienden las implicaciones de autorizar a terceros a acceder a sus datos bancarios. La comunicación clara y la formación son clave.
  • Prevención de fraude: a pesar de la SCA, los intentos de estafa evolucionan constantemente. Es necesario monitorear y actualizar las defensas ante posibles vulnerabilidades.

La PSD2 exige una visión estratégica por parte de los actores tradicionales, que pasan de un enfoque cerrado a uno colaborativo con terceros, lo cual puede implicar cambios en la cultura empresarial y en la relación con los clientes.

La PSD2 y el camino hacia el Open Banking

La PSD2 se considera un catalizador del Open Banking. Este concepto implica un entorno donde los datos financieros se comparten de forma controlada para generar nuevos servicios. Algunas aplicaciones reales del Open Banking son:

  • Gestores de finanzas personales: aplicaciones que permiten al usuario ver y gestionar todas sus cuentas e inversiones en un solo panel, otorgando consejos personalizados.
  • Herramientas de análisis de gastos: automatizan la clasificación de transacciones y la elaboración de presupuestos.
  • Pagos instantáneos: vía PIS, se reducen los costes de intermediación y el tiempo de liquidación.
  • Ecosistemas financieros: startups y bancos colaboran, creando productos modulares: seguros on-demand, micropréstamos basados en datos en tiempo real, etc.

A escala mundial, se observan iniciativas similares a la PSD2, como la regulación de Open Banking en el Reino Unido o proyectos en mercados emergentes. El denominador común es el potencial de abrir el sector financiero a una competencia feroz, donde la experiencia de cliente y la capacidad de innovar marcan la diferencia.

Aspectos de cumplimiento y sanciones

Para asegurar el cumplimiento de la PSD2, las autoridades supervisoras de cada Estado miembro, respaldadas por la Autoridad Bancaria Europea (EBA), pueden imponer:

  • Multas económicas: su cuantía varía según la legislación nacional y la gravedad de la infracción.
  • Restricciones operativas: limitar la capacidad de procesar pagos o de ofrecer ciertos servicios.
  • Impacto reputacional: las noticias sobre incumplimientos pueden socavar la confianza de clientes e inversores.

Por ello, todas las partes involucradas —bancos, PSP, TPP y comercios— deben certificar que sus sistemas cumplen con la Autenticación Reforzada de Clientes, la correcta gestión de exenciones y el reporte transparente de incidencias. Además, se exige una relación clara con el usuario, especificando términos y condiciones de cada servicio de pago.

Lecciones aprendidas y mejores prácticas

La adopción de la PSD2 ha dejado varios aprendizajes:

  • Colaboración entre entidades: la banca tradicional y las fintech pueden encontrar sinergias en productos y servicios. Compartir el know-how y la infraestructura impulsa la innovación.
  • Experiencia de usuario primero: la SCA es esencial, pero si el proceso de autenticación es complejo, los usuarios abandonarán. Las soluciones biométricas o de un solo clic reducen la fricción.
  • Monitorización continua del fraude: aun con la PSD2, los ciberdelincuentes buscan nuevas vías para vulnerar los sistemas. El uso de IA y machine learning para detectar patrones sospechosos se convierte en una necesidad constante.
  • Comunicación clara: explicar al cliente las ventajas y garantías de autorizar a terceros a manejar sus datos bancarios es fundamental para generar confianza.
  • Escalabilidad y estabilidad: las APIs abiertas han de ser robustas para enfrentar picos de uso, sobre todo en fechas clave de e-commerce.

Estas mejores prácticas han permitido que algunas empresas se posicionen como líderes del ecosistema Open Banking, aprovechando el tirón regulatorio y transformando sus productos para diferenciarse en el mercado.

Perspectivas de futuro: más allá de la PSD2

La PSD2 supuso un antes y un después en la concepción de los servicios de pago y la banca digital, pero su evolución no se detiene:

  • Posibles mejoras regulatorias: se habla de una eventual PSD3, que podría abarcar criptomonedas y activos digitales, además de perfeccionar la protección del usuario.
  • Integración con identidades digitales: la unión de la PSD2 con el reglamento eIDAS y otras plataformas de identidad podría simplificar aún más la verificación de usuarios.
  • IA y automatización: los proveedores utilizarán datos en tiempo real para ofrecer recomendaciones financieras hiper personalizadas.
  • Internacionalización: el modelo de Open Banking empieza a replicarse en países de Asia-Pacífico y Latinoamérica, con regulaciones inspiradas en la PSD2.
  • Sostenibilidad y finanzas verdes: con la creciente importancia de criterios ESG, podrían surgir servicios que integren huella de carbono y otras métricas ambientales en la gestión financiera.

El futuro post-PSD2 sigue abriendo puertas a la innovación financiera. Los actores que mejor se adapten a estas tendencias y necesidades del usuario serán quienes lideren la próxima ola de transformación digital.

Cumplimiento de la PSD2 con soluciones de identidad digital

La adopción de la PSD2 y la implementación de la Autenticación Reforzada de Clientes requieren un sólido sistema de verificación de identidad y gestión segura de la información. Mitek es un aliado estratégico para empresas y entidades financieras que buscan:

  • Cumplir con PSD2 sin sacrificar la experiencia de usuario.
  • Reducir el riesgo de fraude gracias a tecnologías de verificación de identidad digital y biometría de vanguardia.
  • Optimizar sus procesos de onboarding de clientes y autenticación, asegurando la máxima confianza de los clientes.
Con soluciones líderes en verificación de documentos, autenticación biométrica y análisis de riesgos, Mitek facilita el camino hacia un entorno financiero seguro, de confianza y alineado con las últimas regulaciones. Descubre cómo nuestra experiencia y know-how pueden impulsar tu estrategia de cumplimiento y ayudarte a capitalizar todas las oportunidades del Open Banking.

 

Más información

Te lo explicamos